- このマニュアルについて
- セキュリティの概要
- HTTP over SSL(HTTPS)の使用方法
- Cisco CTL クライアントの設定
- 電話機のセキュリティの概要
- 電話機セキュリティ プロファイルの 設定
- Certificate Authority Proxy Function の使用方法
- 暗号化された電話機設定ファイルの 設定
- SIP 電話機のダイジェスト認証の設定
- 電話機のセキュリティ強化
- ボイスメール ポートのセキュリティ 設定
- CTI、JTAPI、および TAPI の認証 および暗号化の設定
- Survivable Remote Site Telephony (SRST)リファレンスのセキュリティ 設定
- ゲートウェイおよびトランクの暗号化 の設定
- SIPトランク セキュリティ プロファイル の設定
- SIPトランクのダイジェスト認証の設定
- 索引
Cisco Unified CallManager セキュリティ ガイド Release 5.1(3)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月29日
章のタイトル: 暗号化された電話機設定ファイルの 設定
暗号化された電話機設定ファイルの設定
セキュリティ関連の設定を構成した後、電話機設定ファイルには、ダイジェスト パスワードや電話機管理者パスワードなど、機密性が高い情報が含まれます。設定ファイルの機密性を守るために、設定ファイルを暗号化するように設定する必要があります。
•
「LSC 証明書または MIC 証明書がインストールされていることの確認」
• 「その他の情報」
電話機設定ファイルの暗号化について
電話機が Cisco Unified CallManager からダウンロードする設定ファイル内のダイジェスト クレデンシャルおよびセキュア パスワードを保護するには、[電話セキュリティプロファイルの設定(Phone Security Profile Configuration)]ウィンドウで[TFTP暗号化]オプションを有効にして、Cisco Unified CallManager の管理ページで追加作業を実行する必要があります。
[TFTP暗号化]オプションを有効にして、Cisco Unified CallManager の管理ページおよび電話機で、必要なパラメータを設定し、Cisco Unified CallManager Serviceability で、必要なサービスを再起動すると、TFTP サーバは次の作業を実行します。
1. ディスク上のクリア テキストの設定ファイルをすべて削除する。
電話機が暗号化された電話機設定ファイルをサポートしている場合に、電話機設定ファイルの暗号化に必要な作業を実行すると、電話機は設定ファイルの暗号化されたバージョンを要求します。
警告 SIP 電話機のダイジェスト認証が有効になっていて、TFTP 暗号化設定が無効になっている場合、ダイジェスト クレデンシャルは暗号化されずに送信されます。詳細については、「電話機設定ファイルの暗号化の無効化」を参照してください。
「サポートされる電話機のモデル」で説明するように、暗号化された電話機設定ファイルをサポートしない電話機があります。電話機モデルとプロトコルによって、設定ファイルの暗号化に使用される方式が決まります。サポートされる方式は、Cisco Unified CallManager の機能と、暗号化された設定ファイルをサポートするファームウェア ロードに依存します。暗号化された設定ファイルをサポートしないバージョンに電話機ファームウェアをダウングレードした場合、TFTP サーバは、最小限の設定内容を含む暗号化されていない設定ファイルを提供します。その結果、電話機が期待されるとおりに動作しない可能性があります。
鍵情報の機密性を維持するために、暗号化された電話機設定ファイルに関する作業は、セキュアな環境で実行することを強く推奨します。
Cisco Unified CallManager は、次の方式をサポートします。
• 鍵の手動配布
「鍵の手動配布」および「電話機の公開鍵による対称キーの暗号化」の項の情報は、クラスタを混合モードに設定し、Cisco Unified CallManager の管理ページで TFTP Encrypted Config パラメータを有効にしたことを前提とします。
鍵の手動配布
ヒント この方式をサポートする電話機のリストについては、「サポートされる電話機のモデル」を参照してください。
鍵の手動配布では、電話機がリセットされた後、Cisco Unified CallManager データベースに格納されている 128 ビットまたは 256 ビットの対称キーによって、電話機設定ファイルが暗号化されます。使用中の電話機モデルの鍵サイズを判別するには、「サポートされる電話機のモデル」を参照してください。
設定ファイルを暗号化するには、管理者が手動で鍵を Cisco Unified CallManager の管理ページに入力するか、Cisco Unified CallManager の管理ページの[電話の設定(Phone Configuration)]ウィンドウで鍵を生成します。データベースに鍵が存在するようになった後、管理者またはユーザは、電話機のユーザ インターフェイスにアクセスして、電話機に鍵を入力する必要があります。[Accept(受け入れ)]ソフトキーを押すとすぐに、鍵は電話機のフラッシュに格納されます。鍵を入力した後、電話機をリセットすると、電話機は暗号化された設定ファイルを要求します。必要な作業を実行した後、対称キーは RC4 または AES 128 暗号化アルゴリズムを使用して、設定ファイルを暗号化します。電話機が RC4 と AES 128 のどちらの暗号化アルゴリズムを使用するかを判別するには、「サポートされる電話機のモデル」を参照してください。
電話機に対称キーが含まれている場合、電話機は必ず暗号化された設定ファイルを要求します。Cisco Unified CallManager は、TFTP サーバが署名した暗号化された設定ファイルを電話機にダウンロードします。すべての電話機タイプが設定ファイルの署名者を検証するわけではありません。詳細については、「サポートされる電話機のモデル」を参照してください。
電話機は、フラッシュに格納されている対称キーを使用して、ファイルの内容を復号化します。復号化に失敗した場合、設定ファイルは電話機に適用されません。
ヒント [TFTP暗号化]設定を無効にした場合、管理者は、次にリセットしたときに電話機が暗号化されていない設定ファイルを要求するように、電話機 GUI から対称キーを削除する必要があります。
電話機の公開鍵による対称キーの暗号化
ヒント この方式をサポートする電話機モデルのリストについては、「サポートされる電話機のモデル」を参照してください。
Certificate Authority Proxy Function(CAPF)の詳細については、「Certificate Authority Proxy Function の概要」を参照してください。Certificate Authority Proxy Function(CAPF)は、Cisco Unified CallManager に対する Cisco Unified IP Phone の認証、および電話機の証明書(LSC)の発行を行います。
電話機に、製造元でインストールされる証明書(MIC)またはローカルで有効な証明書(LSC)が含まれている場合、電話機には、PKI 暗号化で使用される公開鍵と秘密鍵のペアが含まれています。
この方式を初めて使うとき、設定ファイルの電話機証明書の MD5 ハッシュと、LSC または MIC の MD5 ハッシュが比較されます。電話機で問題が検出されない場合、電話機は、リセット後に TFTP サーバから暗号化された設定ファイルを要求します。電話機で問題が検出された場合(ハッシュが一致しない、電話機に証明書が含まれていない、MD5 値がブランクであるなど)、CAPF 認証モードが[By Authentication String]でなければ、電話機は CAPF とのセッションを開始しようとします([By Authentication String]の場合は、文字列を手動で入力する必要があります)。CAPF は、電話機の公開鍵を LSC または MIC から抽出し、MD5 ハッシュを生成し、公開鍵および証明書ハッシュの値を Cisco Unified CallManager データベースに格納します。公開鍵がデータベースに格納された後、電話機はリセットされ、新しい設定ファイルが要求されます。
公開鍵がデータベースに存在するようになり、電話機がリセットされた後、電話機用の公開鍵があることをデータベースが TFTP に通知すると、対称キー暗号化処理が開始されます。TFTP サーバは 128 ビット 対称キーを生成します。これによって、設定ファイルは Advanced Encryption Standard(AES; 高度暗号化規格)128 暗号化アルゴリズムで暗号化されます。次に、電話機の公開鍵で対称キーが暗号化され、設定ファイルの署名付きエンベロープ ヘッダーに含まれます。電話機は、ファイルの署名を検証し、署名が有効である場合は、LSC または MIC の秘密鍵を使用して、暗号化された対称キーを復号化します。次に、対称キーによって、ファイルの内容が復号化されます。
設定ファイルを更新するたびに、TFTP サーバは、ファイルを暗号化する新しい鍵を自動的に生成します。
ヒント この暗号化方式をサポートする電話機は、設定ファイルの暗号化設定フラグを使用して、暗号化されたファイルと暗号化されていないファイルのどちらを要求するかを決定します。[TFTP暗号化]設定が無効の場合、Cisco Unified IP Phone 7911、7941、7961、7970、および 7971 が暗号化されたファイル(.enc.sgn ファイル)を要求すると、Cisco Unified CallManager はファイルが見つからないエラーを電話機に送信します。次に、電話機は、暗号化されていない署名付きファイル(.sgn ファイル)を要求します。
[TFTP暗号化]設定が有効の場合、何らかの理由で電話機が暗号化されていない設定ファイルを要求すると、TFTP サーバは最小限の設定内容を含む暗号化されていないファイルを提供します。電話機は、最小限の設定を受信した後、エラー状態(鍵の不一致など)を検出でき、CAPF とのセッションを開始して電話機の公開鍵を Cisco Unified CallManager データベースと同期させることができます。エラー状態が解消された場合、電話機は次回リセット時に暗号化された設定ファイルを要求します。
サポートされる電話機のモデル
次の Cisco Unified IP Phone で、電話機設定ファイルを暗号化できます。
暗号化された設定ファイルの設定のヒント
[TFTP暗号化]フラグを有効にして、電話機がダウンロードする設定ファイル内の機密データを保護することをお勧めします。電話機に PKI 機能が備わっていない場合は、Cisco Unified CallManager の管理ページおよび電話機で対称キーを設定する必要もあります。[TFTP暗号化]フラグが設定されている場合、電話機または Cisco Unified CallManager で対称キーが欠落していたり、不一致が発生したりすると、電話機は登録できません。
Cisco Unified CallManager の管理ページで、暗号化された設定ファイルを設定する場合は、次の点を考慮してください。
• 暗号化された設定ファイルをサポートする電話機のセキュリティ プロファイルだけに[TFTP暗号化]フラグが表示されます。Cisco Unified IP Phone 7905、7912、7940、および 7960(SCCP のみ)は設定ファイルのダウンロードで機密データを受信しないため、これらのモデルに暗号化された設定ファイルを設定することはできません。
• [TFTP暗号化]のデフォルト設定は、無効(オフ)です。デフォルトの非セキュア プロファイルを電話機に適用すると、ダイジェスト クレデンシャルおよびセキュア パスワードはクリアで送信されます。
• 公開鍵暗号化を使用する Cisco Unified Phone の場合、Cisco Unified CallManager は、デバイス セキュリティ モードを認証済みまたは暗号化済みに設定して、暗号化された設定ファイルを有効にするように要求しません。Cisco Unified CallManager は、登録中の公開鍵のダウンロードに CAPF プロセスを使用します。
• ご使用の環境がセキュアであることがわかっている場合、または PKI が有効でない電話機に対称キーを手動で設定することを避ける場合は、暗号化されていない設定ファイルを電話機にダウンロードすることもできます。ただし、この方法はお勧めできません。
• Cisco Unified IP Phone 7905、7912、7940、および 7960(SIP のみ)の場合、Cisco Unified CallManager の管理ページに、ダイジェスト クレデンシャルを電話機に送信する方式として、暗号化された設定ファイルを使用するよりも簡単であるが安全性の低い方式が用意されています。この方式は、まず対称キーを設定して電話機に入力するという作業が不要であるため、ダイジェスト クレデンシャルの初期化に便利です。この方式では、[設定ファイル内のダイジェスト信用証明書を除外(Exclude Digest Credentials in Configuration File)]設定を使用します。
この方式では、暗号化されていない設定ファイルで電話機にダイジェスト クレデンシャルを送信します。電話機でクレデンシャルが受信された後、対応するセキュリティ プロファイル ウィンドウで TFTP ファイルの暗号化設定を無効のままにして、[設定ファイル内のダイジェスト信用証明書を除外(Exclude Digest Credentials in Configuration File)]フラグを有効にすることをお勧めします。これによって、次回以降のダウンロードでダイジェスト クレデンシャルが除外されます。
これらの電話機にすでにダイジェスト クレデンシャルが存在しており、着信ファイルにダイジェスト クレデンシャルが含まれていない場合、既存のクレデンシャルが所定の場所に残ります。電話機が工場出荷時の設定にリセットされるか、新しいクレデンシャル(ブランクを含む)が受信されるまで、ダイジェスト クレデンシャルは元の状態のまま残ります。
電話機ユーザまたはエンド ユーザのダイジェスト クレデンシャルを変更した場合は、対応するセキュリティ プロファイル ウィンドウでダイジェスト信用証明書を除外するフラグを一時的に無効にして、新しいダイジェスト クレデンシャルを電話機にダウンロードします。
暗号化設定ファイルの設定用チェックリスト
表7-1 を使用して、Cisco Unified CallManager の管理ページで暗号化された設定ファイルの設定手順を進めます。
電話機設定ファイルの暗号化の有効化
TFTP サーバは、設定ファイルを構築するときに、データベースに問い合せます。電話機に適用されている電話機セキュリティ プロファイルで TFTP 暗号化フラグが設定されている場合、TFTP サーバは暗号化された設定ファイルを構築します。
TFTP 暗号化フラグにアクセスするには、 「電話機セキュリティ プロファイルの検索」 の説明に従って、電話機の適切なデバイス セキュリティ プロファイルを見つけます。設定ファイルの暗号化を有効にするには、[TFTP暗号化]チェックボックスをオンにします。
詳細については、「関連項目」を参照してください。
鍵の手動配布の設定
使用中の電話機が鍵の手動配布をサポートしているかどうかを判別するには、「サポートされる電話機のモデル」を参照してください。
• 電話機が Cisco Unified CallManager データベースに存在する。
• 互換性のあるファームウェア ロードが TFTP サーバに存在する。
• Cisco Unified CallManager の管理ページで TFTP Encrypted Config パラメータを有効にした。
ステップ 1 『 Cisco Unified CallManager アドミニストレーション ガイド 』の説明に従って、電話機を検索します。
ステップ 2 [電話の設定(Phone Configuration)]ウィンドウが表示された後、 表7-2 の説明に従って、鍵の手動配布設定を定義します。設定の完了後は、鍵は変更しないでください。
ステップ 4 電話機に対称キーを入力し、電話機をリセットします。これらの作業の実行方法については、使用中の電話機モデルをサポートする電話機のアドミニストレーション ガイドを参照してください。
詳細については、「関連項目」を参照してください。
鍵の手動配布の設定内容
表7-2で、[電話の設定(Phone Configuration)]ウィンドウに表示される手動配布の設定内容について説明します。
• 設定のヒントについては、「暗号化された設定ファイルの設定のヒント」を参照してください。
• 関連する情報および手順については、「関連項目」を参照してください。
電話機での対称キーの入力
Cisco Unified CallManager の管理ページで鍵の手動配布を設定した後、電話機に対称キーを入力するには、次の手順を実行します。
ステップ 2 設定がロックされている場合は、[Settings(設定)]メニューへスクロール ダウンし、 電話のロック解除 を強調表示して、 [Select(選択)] ソフトキーを押します。電話パスワードを入力し、 [Accept(受け入れ)] ソフトキーを押します。
ステップ 3 [Settings(設定)]メニューへスクロール ダウンし、 [Security Configuration(セキュリティ設定)] を強調表示して、 [Select(選択)] ソフトキーを押します。
ステップ 4 [Security Configuration(セキュリティ設定)]メニューで、 [Set Cfg Encrypt Key] オプションを強調表示して、 [Select(選択)] ソフトキーを押します。
ステップ 5 暗号鍵の入力を求めるプロンプトが表示されたら、鍵を入力します(16 進数で)。鍵をクリアする必要がある場合は、ゼロを 32 個入力します。
ステップ 6 鍵の入力が終わったら、 [Accept(受け入れ)] ソフトキーを押します。
ステップ 8 電話機をリセットすると、電話機は暗号化された設定ファイルを要求します。
LSC 証明書または MIC 証明書がインストールされていることの確認
この手順は、PKI 暗号化を使用する Cisco Unified IP Phone に適用されます。使用中の電話機が、電話機の公開鍵による対称キーの暗号化(PKI 暗号化)方式をサポートするかどうかを判別するには、「サポートされる電話機のモデル」を参照してください。
次の手順では、Cisco Unified CallManager データベースに電話機が存在し、Cisco Unified CallManager の管理ページで TFTP Encrypted Config パラメータを有効にしたことを前提としています。
ステップ 1 製造元でインストールされる証明書(MIC)またはローカルで有効な証明書(LSC)が電話機に存在することを確認します。
LSC または MIC が電話機に存在するかどうかは、電話機のセキュリティ設定を確認することによっても判別できます。詳細については、このバージョンの Cisco Unified CallManager をサポートする Cisco Unified IP Phone の Cisco Unified IP Phone アドミニストレーション ガイドを参照してください。
ステップ 2 証明書が存在しない場合は、[電話の設定(Phone Configuration)]ウィンドウの CAPF 機能を使用して、LSC をインストールします。LSC をインストールする方法については、「Certificate Authority Proxy Function の使用方法」を参照してください。
ステップ 3 CAPF 設定を定義した後、 [保存] をクリックします。
ステップ 4 [電話の設定(Phone Configuration)]ウィンドウで、 [リセット] をクリックします。電話機は、リセット後、暗号化された設定ファイルを TFTP サーバに要求します。
詳細については、「関連項目」を参照してください。
電話機設定ファイルが暗号化されていることの確認
電話機設定ファイルを暗号化するときは、次の形式が使用されます。
• Cisco Unified IP Phone 7905 および 7912(SIP プロトコルのみ):LD <MAC>.x
• Cisco Unified IP Phone 7940 および 7960(SIP プロトコルのみ):SIP<MAC>.cnf.enc.sgn
• Cisco Unified IP Phone 7911、7941、7961、7970、および 7971:SEP<MAC>.cnf.xml.enc.sgn
詳細については、暗号化とこのバージョンの Cisco Unified CallManager をサポートする Cisco Unified IP Phone の Cisco Unified IP Phone アドミニストレーション ガイドを参照してください。
電話機設定ファイルの暗号化の無効化
電話機設定ファイルの暗号化を無効にするには、Cisco Unified CallManager の管理ページの電話機セキュリティ プロファイルで[TFTP暗号化]チェックボックスをオフにして、変更内容を保存する必要があります。
警告 SIP 電話機のダイジェスト認証が有効になっていて、TFTP 暗号化設定が無効になっている場合、ダイジェスト クレデンシャルは暗号化されずに送信されます。
設定を更新した後、電話機の暗号鍵は Cisco Unified CallManager データベースに残ります。
Cisco Unified IP Phone 7911、7941、7961、7970、および 7971 が暗号化されたファイル(.enc.sgn ファイル)を要求している場合、暗号化設定を更新して無効にすると、電話機は暗号化されていない署名付きファイル(.sgn ファイル)を要求します。
Cisco Unified IP Phone 7940/7960/7905/7912(SIP のみ)が暗号化されたファイルを要求している場合、暗号化設定を更新して無効にしたときは、次に電話機がリセットされたときに暗号化されていない設定ファイルを要求するように、管理者が電話機 GUI で対称キーを削除する必要があります。
ヒント Cisco Unified IP Phone 7940 および 7960(SIP のみ)では、電話機 GUI で対称キーとして 32 バイトの 0 を入力して、暗号化を無効にします。Cisco Unified IP Phone 7905 および 7912(SIP のみ)では、電話機 GUI で対称キーを削除して、暗号化を無効にします。これらの作業の実行方法については、使用中の電話機モデルをサポートする電話機のアドミニストレーション ガイドを参照してください。
電話機設定ファイルのダウンロードからのダイジェスト クレデンシャルの除外
初期設定後に電話機に送信される設定ファイルからダイジェスト クレデンシャルを除外するには、電話機に適用されるセキュリティ プロファイルの[設定ファイル内のダイジェスト信用証明書を除外(Exclude Digest Credentials in Configuration File)]チェックボックスをオンにします。Cisco Unified IP Phone 7905、7912、7940、および 7960(SIP のみ)だけがこのオプションをサポートしています。
ダイジェスト クレデンシャルを変更した場合は、このチェックボックスをオフにして、設定ファイルを更新する必要があります。詳細については、「暗号化された設定ファイルの設定のヒント」を参照してください。
詳細については、「関連項目」を参照してください。
その他の情報
• 「LSC 証明書または MIC 証明書がインストールされていることの確認」
• 「電話機設定ファイルのダウンロードからのダイジェスト クレデンシャルの除外」
• 「Certificate Authority Proxy Function の使用方法」
• Cisco Unified CallManager Bulk Administration ガイド
• 電話機のモデルおよびプロトコルに対応した Cisco Unified IP Phone アドミニストレーション ガイド
フィードバック